Christian-Pierre BelinMicrosoft France

Objectifs de la sessionSouligner les contraintes de sécurité pour permettre des accès distants aux ressources en extranet (pour les employés, les partenaires, les fournisseurs ou les clients)

Comprendre les bénéfices qu’apporte IAG 2007

Ce qu’il faut retenir…Nombre de considérations sécuritaires et fonctionnelles entrent en jeu lors de la mise en œuvre de projets d’accès distants

IAG 2007 propose une solution clef en main permettant des accès distants depuis pratiquement tous périphériques vers la majeure partie des applications d’entreprise

Positionnement d’IAG 2007Les scénarii d’accès distantsConsidérations sécuritairesConsidérations fonctionnellesDémo: Du côté utilisateurDémo: Du côté administrateurLes fonctionnalités…

Plateforme et infrastructure de gestion Plateforme et infrastructure de gestion standardiséestandardisée

La problématique:Avec l’essor d’Internet, les entreprises ont eu de plus en plus besoin de plateformes permettant d’offrir un accès distant à leurs employés, partenaires ou clients, et ce de manière toujours plus sécurisée.

Les solutions ?1ere approche:

Dialup Remote Access

Solution chère et trop limitée.

2iéme approche: Se limiter à l’usage de reverse proxy pour des applications Web.

3iéme approche: L’essor du VPN IPSec pour les utilisateurs distants

Mais le VPN IPSec a été initialement conçu pour de la connectivité site à site.

Introduit les limitations suivantes:

L’extension du réseau interne augmente les risques de sécurité

La difficulté à traverser des réseaux avec Firewall ou NAT

La partie client se complexifie toujours davantageClient firewall, antivirus, split tunneling…

Installation et déploiement

Nécessite des privilèges administrateur

Peut interférer avec d’autres logiciels de sécurité

Peu intuitif pour l’utilisateur

Résultat:Les entreprises en limite l’usage aux “road warriors” et aux PCs gérés

Le TCO est haut avec un ROI limité

Central LocationCentral Location

Mobile WorkerMobile WorkerIn AirportIn Airport

Branch OfficeBranch Office

Home OfficeHome Office

IPSec VPNNécessite l’installation d’un clientNe fonctionne pas partoutRisque de connecter des PCs non gérés au réseau interne

Reverse ProxyNe résous pas les applications Client/ServeurNe différencie pas le type de périphérique utilisé

Terminal ServicesDéploiements limités principalement du aux contraintes côté serveur applicatif

Un cahier des charges proposant les même fonctionnalités pour:

Tous les utilisateursDepuis n’importe oùPour tout type d’application

Basé sur un TCO faibleApparition de nouvelles considérations sécuritaires afin de prendre en charge les nouvelles contraintes (PCs non gérés…)La première vague de produit était centré sur les problématiques de connectivitéLa vague actuelle se concentre sur l’intelligence applicative

Support des applications en VPN SSLWeb – Client/Server – File AccessApplications “maison”Tierce-partie, e.g. Citrix, IBM, Lotus, SAP, PeopleSoft…

Conçu pour les utilisateurs et postes gérés & non gérés

Détection automatique du système, des logiciels et de la configurationStratégies d’accès en accord avec l’état de sécurité du posteEfface les fichiers temporaires et les données des postes non gérés

Aide à la productivité grâce à l’intelligence applicative

Applique des règles au niveau des fonctionnalités applicativesContrôle dynamiquement la cohérence des transactions applicativesSSO exposé sur différents types de référentiels, protocoles et formats.Interface utilisateur & portail personnalisables

Une ligne de produit de sécurité

complète permettant d’offrir une

protection renforcée grâce à une forte

intégration et à une gestion simplifiée

PérimètreOS Client et Serveur Serveurs Applicatifs

Les produits Forefront Edge Security & Access, Internet Security and Acceleration (ISA) Server 2006 ainsi qu’ Intelligent Application Gateway (IAG) 2007 proposent une plateforme de protection périmètrique et applicative, basée sur des règles spécifiques d’accès au réseau interne et à ses ressources applicatives.

Accès optimisé pour les employés, partenaires ou

clients depuis virtuellement n’importe

où

Optimiser la sécurité et l’utilisation du WAN

pour les sites distants

Protéger votre environnement des utilisateurs internes qui accèdent à du

contenu malveillant ou douteux

Gestion des accès sécurisés

Authentification – Qui êtes-vous?

Authentification forte – L’êtes-vous vraiment?

Habilitation – A quoi avez-vous accès?

Sécurité du transport – Quelqu’un peut-il écouter?

Sécurité applicative – Devriez-vous faire cette transaction?

Sécurité du poste – Depuis ce type de machine?

Protection de l’information – Cela doit-il rester dans la nature?

Sécurité de la session – Pendant combien de temps pouvez- vous faire cela?

Publication aisée des applications Web et non Web (C/S)Une expérience utilisateur intuitive

Pas de client ou très léger

Un seul point d’entrée ou d’accès

Expérience d’authentification unique (SSO)

Auto-assistance (« Rémediation »)

Gestion des mots de passe

Une solution VPN SSL doit inclure:Une solution VPN SSL doit inclure:Encapsulation – Transférer le trafic Web et non Web dans du SSL;

Sécurité du poste – Vérification de la conformité, nettoyage du cache, timeouts

Authentification – Annuaires (e.g. Active Directory), Support de l’authentification forte, SSO

Autorisation – autoriser/refuser l’accès aux applications

Portail – Expérience utilisateur, interfaces

Applications

Client

Web

Simple TCP

non-WebManagement

Authentification

Autorisation

Portail

Encapsulation

Sécurité

Passerelle

SSL VPN

Client Haute disponibilité, Gestion, Logging, Reporting, gestion de plusieurs portails

Authentification

Autorisation

Experience utilisateur

Encapsulation

Sécurité

Applications spécifiques

Web

Client/Server

Browser Embedded

Exchange/ Outlook

OWA

SharePoint

Citrix

Applications génériques

Modules applicatifs spécifiques

• Connaissance des applications• Définition de la syntaxe/langage des applications• Modules applicatifs

Passerelle VPN SSL

Web ProxyPort/Socket Forwarding

Applications concernées: MS Terminal; Citrix; Telnet; SSH; SAP Client; Native Drive Mapping etc

Native Outlook ; IP-based applications ; clustered terminal services; notes cluster etc

Technologie utilisée: TCP Relay; HTTP proxy; Socks proxy

Network ConnectorApplications concernées:

Toutes applications IP (TCP/UDP/ICMP) pour des directions entrantes/sortantes

Technologie utilisée: Accès réseau complet (Interface Réseau virtuelle de type VPN)

Niveau d’accès

Web Prox

y

Port/Socket Forwarder

Corporate laptop

Home PC

Customer/Partner

PC

Internet kiosk

Network Connection

Plus de 70 paramétres peuvent être testés dont:

AntivirusAntimalwarePersonal Firewall

Desktop Search et utilitaires d’indexation

Et aussi…Accès direct et intuitif aux régles de baseInterface graphique permettant l’édition et la modification des paramétresS’appuit sur le script Windows Shell pour créer de nouvelles régles ou inspecter d’autres paramètres

Propose un accès contrôlé aux applications et à leurs opérations au travers de stratégies

Permet le contrôle de certaines opérations applicatives:

Document download / uploadDocument check out / check inEdit document / propertiesDelete

Politique mise en oeuvre côté client et serveur

Exemple: transfert de pièce jointeProblème

Les utilisateurs peuvent contourner l’interdiction de downloader les pièces jointes en transférant les emails, et ainsi être en mesure d’ouvrir les attachements.

SolutionForward: L’utilisateur qui utilise la fonction “transférer” sera bloqué et averti que seule la fonction de transfert sans pièce jointe est accessible.Reply with History: L’utilisateur qui souhaite utiliser cette option sera bloqué et recevra un message adéquate.

Inspection et filtrage intelligent au niveau applicatif afin d’empêcher des trames non-conformes qui pourraient induire un comportement applicatif non souhaité.

Blocage du trafic malicieux (mauvaises commandes ou syntaxes) grâce à une logique de règles positive ou négative.

Jeu de règles (logique positive) prédéfinies pour certaines applications

Dans une certaine mesure, l’utilisation de la logique positive permet potentiellement de s’affranchir d’attaques encore inconnues (zero day exploit)

Gérer les accès des employés, des partenaires et des clients pour accéder aux applications d’entreprise

Possibilité de définir plusieurs portails par applianceChacune ayant sa propre adresse IP et son hostnameChaque portail est totalement personnalisable (aspect, applications, authentifications et autorisations).

Etendre l’usage des applications au-delà du réseau interne

Mettre en place des stratégies d’accès sans réduire le niveau de sécuritéCapitaliser sur les infrastructures logicielles déjà en placeModèle d’accès qui propose un usage fonctionnel maximal en fonction du niveau de sécurité des clients

IT Support

Partners

Employees

Customers

IT Support Center

Username:Password:Token:

Employee Portal

Username:Password: Token:

Partner Extranet

Username:Password:

e-Commerce

Username:Password:

support.xyz.com

portal.xyz.com

extranet.xyz.com

shopping.xyz.com

Informations techniques, training http://www.microsoft.com/forefront/edgesecurity/iag/whitepapers.mspx

Lab virtuels et démos sur http://www.microsoft.com/forefront/edgesecurity/producttours.swf

1

Versions d’évaluations et Maquettes virtuelles sur http://www.microsoft.com/forefront/edgesecurity/trial.mspx

2

3

200 sessions techniques, 3 plénières, des workshops, des hands on lab, de la formation et certificationUne édition spéciale lancement Windows Server 2008, SQL Server 2008, Visual Studio 2008et plus de 20 thèmes Management, Sécurité, Communication & Collaboration, Virtualisation, Business Intelligence, …